今年6月,《2017年全球數據洩露成本研究》報告發布。
研究結果顯示,IBM Security 和 Ponemon Institute兩家研究機構針對419家公司進行調研,合計數據洩露總成本達到362萬美元。每條包含敏感和機密信息的丢失或被盜記錄的平均成本達到141美元。對比往年,今年企業和組織數據洩露的規模較以往更大(dà),平均規模增長了1.8%。
近年來,全球各地無論是政府組織還是知(zhī)名企業,頻(pín)繁被爆出大(dà)規模數據洩露事件,尤以信息化程度發達的國家更爲嚴重。研究結果來自11個國家和2個區域,從中(zhōng)選擇了419個組織參加了今年的研究。通過對這些組織中(zhōng)的1900多名專家進行訪談,以此了解:
數據洩露中(zhōng)有多少客戶記錄丢失(即洩露規模)?
數據洩露後他們失去(qù)的客戶的百分(fēn)比(即客戶流失)?
數據洩露的根本原因?
檢測和控制洩露事件的時間?
發現和立即響應數據洩露的活動方面花費(fèi),例如取證和調查,以及發現後進行的活動,例如通知(zhī)受害人和法律方面的費(fèi)用?
通過這些樣本對數據洩露成本進行研究和分(fēn)析,不僅是爲了核算成本和趨勢預判,最終目的是通過調研還原這些數據洩露事件全貌,爲組織和企業的數據安全保護提供更有參考價值的建議,我(wǒ)們将報告中(zhōng)的一(yī)些重要觀點摘錄下(xià)來,以此作爲重要的參考依據,思考在大(dà)數據時代下(xià),如何通過行之有效的手段,規避未來可能會發生(shēng)的洩露事件,爲企業避免爲此類負面事件付出高昂的成本。
數據洩露的主要原因
報告顯示,數據洩露事件的主要根源中(zhōng),47%的事件涉及惡意或犯罪行爲,25%是由于員(yuán)工(gōng)或承包商(shāng)疏忽(人爲因素),28%涉及系統故障,包括IT和業務流程故障。
雖然本次調查沒有涉及中(zhōng)國的組織和企業,但這一(yī)趨勢與國内諸多安全研究結果較爲一(yī)緻。早期,惡意攻擊者的目标是業務系統,以導緻業務中(zhōng)斷爲目的。近年伴随數據資(zī)産價值與日俱增,惡意攻擊者的目标越來越多的指向數據存儲的基礎設施-數據庫系統。針對數據庫的漏洞攻擊、SQL注入等手段不斷升級,目的正是對敏感數據的竊取,這些包含個人隐私或商(shāng)業機密的數據流入黑産市場,經過多手倒賣,流入更多不法分(fēn)子手中(zhōng),震驚全球的雅虎5億用戶信息洩露事件正是源于黑客攻擊。
另一(yī)方面,與國内情況類似,内部員(yuán)工(gōng)及承包商(shāng)(即第三方公司)的人爲洩露比例正在逐年上升。企業信息化建設增速逐年提升,除了内部人員(yuán)配備提升,爲節省人力成本,引入第三方外(wài)包公司進行系統開(kāi)發、測試、分(fēn)析或代理運維等工(gōng)作是目前常見的解決方式,在此過程中(zhōng)這類人群往往持有數據庫的高權限賬戶,一(yī)面是内部人員(yuán)可能産生(shēng)的高危操作、誤操作,另一(yī)方面是第三方人員(yuán)引發的數據洩露事件,這成爲數據洩露的另一(yī)主因。
慶幸的是,國内的多數行業已經意識到内部威脅及第三方人員(yuán)的數據洩露風險,會主動尋求技術手段規避。數據庫脫敏和數據庫安全運維産品的出現和應用正是基于此,對敏感數據做變形和漂白(bái)後可以放(fàng)心交給第三方公司使用;即使内部及第三方運維人員(yuán)擁有DBA高權限賬戶,依然可以通過基于審批流機制的數據庫安全運維系統,對敏感數據的運維操作進行審核和過濾,防止誤操作及高危操作。
外(wài)洩規模的大(dà)小(xiǎo)以及丢失或被盜記錄的數量
調研結果顯示,數據洩露事件将導緻客戶信任度下(xià)降、企業也需要投入大(dà)量成本進行取證調查,挽回數據,以及相關客戶的聯系及法律成本。通過成本分(fēn)析揭示了數據洩露的平均總成本與事件的大(dà)小(xiǎo)之間的關系。在今年的研究中(zhōng),少于10,000個損失記錄的事件的平均總成本190萬美元,超過50,000記錄的時間平均總成本是630萬美元。因此,丢失的記錄越多,數據洩露的成本就越高。對于這一(yī)情況,報告中(zhōng)提到數據分(fēn)類存儲計劃對于了解敏感和機密信息至關重要。
這一(yī)結論與安華金和提出的數據安全治理思路不謀而合,我(wǒ)們認爲要實現數據在使用中(zhōng)的安全,首先一(yī)步是要了解數據,通過對數據資(zī)産進行梳理,發現你的敏感數據資(zī)産有多少、分(fēn)布在哪裏,使用情況和訪問權限怎樣。對數據資(zī)産進行分(fēn)級分(fēn)類,是爲建立定制化的保護策略提供原始依據。
數據洩露的平均總成本與419個組織的事件大(dà)小(xiǎo)之間的關系
哪些行業的數據洩露更爲昂貴
每個丢失或被盜記錄的數據洩露的全球平均成本爲141美元。然而,醫療保健機構的平均成本爲380美元,金融服務平均成本爲245美元。行業的數據特性,全球共通,醫療及金融行業的數據更多涉及公衆個人隐私及資(zī)産信息,數據量龐大(dà);另一(yī)方面,從業務角度來看,這兩個行業與其他行業的數據集中(zhōng)、共享需求更爲明顯,從中(zhōng)國國情來看,這兩個行業除了互相業務交叉,還會與政府、社保、工(gōng)商(shāng)、稅務财政等諸多行業發生(shēng)數據共享,在數據使用和流轉的過程中(zhōng),節點更多,一(yī)旦單點産生(shēng)安全威脅,可能牽連出跨行業的極大(dà)規模數據洩露,由此産生(shēng)的惡劣社會影響難以估計。
我(wǒ)們在與這些行業的用戶接觸時,發現他們對于數據安全防護的意識也更爲強烈,但同時又(yòu)有另一(yī)點考慮,由于業務複雜(zá)度高且應用繁多,用戶希望能夠在實現安全保障的基礎上不影響業務穩定性及連續性,這對于諸如數據庫防火(huǒ)牆、數據庫加密等技術手段的要求更高,這些必備的産品需要具備大(dà)型項目的實施基礎,以确保複雜(zá)場景下(xià)的性能要求。
今年綜合樣本平均成本按行業分(fēn)類與四年平均水平
大(dà)量使用加密技術可降低成本
報告中(zhōng)指出,廣泛使用加密技術可以節省平均費(fèi)用16美元,平均每筆記錄費(fèi)用爲125美元(141-16美元)。
在安華金和提出的數據庫安全防護體(tǐ)系中(zhōng),數據庫加密技術被定義爲底線防守。技術效果是将數據庫存儲層的明文數據替換爲密文,并設置嚴格的權限校驗機制,即使退一(yī)萬步,數據庫文件已經洩露,沒有密鑰和最高權限,任何人都無法破解。如果按照每筆節省16美元的成本來算,一(yī)個技術手段的實施,可以讓一(yī)次大(dà)規模過萬條記錄的數據洩露事件成本直接下(xià)降數十萬美元,乃至更高。
借助事件響應小(xiǎo)組識别并控制數據洩漏的時間
在今年的研究中(zhōng),事件響應(IR)團隊降低了每個洩露記錄19美元成本。因此,具有強大(dà)的IR能力的公司預計調整後的成本爲122美元(每筆記錄141-19美元)。
國内的少數大(dà)型企業會成立專門的安全應急團隊,此外(wài),專業的安全企業也應當具備安全攻防的研究能力,能夠爲用戶提供及時有效的安全事件響應,通過審計追查等技術手段及人工(gōng)分(fēn)析快速定位洩露源,在最短時間内控制洩露規模和态勢,并能夠通過分(fēn)析攻擊樣本,提供有效的安全加固策略。
無法快速識别數據洩露而增加的成本
通過了解報告中(zhōng)的觀點和分(fēn)析,這些精确的數學核算讓我(wǒ)們對數據洩露的後果和影響有了更感性的認識。這些有價值的安全建議和技術手段并不會花費(fèi)太大(dà)的成本,然而卻可以讓企業和組織不再爲此類負面事件付出數百甚至數千倍的高昂成本,這其中(zhōng)的性價比應該是相當劃算的。
上一(yī)篇:永恒之藍(lán)掃描器發現大(dà)量漏洞主機;域名商(shāng)Gandi大(dà)量域名遭劫持
下(xià)一(yī)篇:2017年Q1全球威脅研究報告:網絡可見性下(xià)降VS 攻擊向量上升